На этой неделе криптовалюты снова стали часто мелькать в заголовках новостей, но в этот раз их появление связано не с самым лучшим поводом. Новый вариант вредоносной программы под названием “WannaMine” стало заражать многие компьютеры во всем мире, чтобы использовать их ресурсы для майнинга криптовалюты под названием Monero.
WannaMine была впервые обнаружена компанией Panda Security в октябре прошлого года, но только сейчас эта вредоносная программа привлекла внимание общественности благодаря ряду громких заражений. Но в отличие от других вариантов вредоносных программ, оказывается, что WannaMine очень сложно обнаружить и заблокировать.
Что делает WannaMine?
Если говорить упрощенно, то WannaMine был разработан для майнинга криптовалюты под названием Monero. Эта вредоносная программа скрытно заражает компьютер жертвы, а затем использует его для запуска сложных процедур расшифровки, которые позволяют создавать новые Monero. Затем валюта добавляется в цифровой кошелек, принадлежащий хакерам, которые готовы тратить ее по своему выбору.
Он может показаться достаточно безвредным, но процесс майнинга требует достаточно много ресурсов и он получает более высокий приоритет по сравнению с легитимными процессами на ПК. Зараженный компьютер начинает работать медленнее, а это затрудняет работу пользователя.
В чем проблема?
Существует несколько серьезных проблем, связанных с WannaMine. Во-первых, то, как зловред пытается максимально использовать ресурсы процессора и оперативной памяти, в результате чего компьютер начинает работать под максимальными нагрузками. В конце концов, ПК начинает сбоить, может привести к дорогостоящему ремонту или даже его полной замене.
Вторая серьезная проблема связана с тем, как WannaMine распространяет себя. Изначально нет ничего не обычного: путем обмана пользователей заставляют скачать вредоносную программу из вложенного в электронное письма файла или на зараженных веб-сайтах. После того, как вредоносная программа была установлена, WannaMine начинает использовать несколько очень изощренных «трюков», чтобы распространиться по сети.
С помощью двух встроенных утилит Windows (PowerShell и инструментарий управления Windows Management Instrumentation), WannaMine пытается перехватывать регистрационные данные, которые позволяют удаленно подключаться к другим компьютерам. Если это не получается, то WannaMine возвращается к использованию того же эксплойта безопасности (EternalBlue), что использовался шифровальщиком WannaCry для собственного распространения.
В силу того, что данная угроза использует встроенные в Windows утилиты, WannaMine относится к «безфайловым» угрозам, что делает ее чрезвычайно сложной в обнаружении и блокировке. На самом деле, некоторые исследования показывают, что многие традиционные антивирусные приложения не могут обнаруживать WannaMine и защищать пользователей от этой угрозы.
Защита от WannaMine
Единственный способ обнаружить инфекцию WannaMine – это тщательный мониторинг приложений и служб, запущенных на компьютере, используя технику, аналогичную Adaptive Defense. Решения Panda Security проверяют все входящие файлы и предотвращают заражение до того, как WannaMine сможет скомпрометировать компьютер.
Помимо наличия надежного и современного антивирусного приложения, установленного на всех ваших компьютерах, крайне важно, чтобы все установленные программы своевременно обновлялись для закрытия «лазеек», которые могут использоваться вредоносными программами. Эксплойт EternalBlue, используемый WannaMine и WannaCry, был устранен корпорацией Microsoft еще в марте 2017 года, но многие пользователи Windows не применили обновление, оставив свои компьютеры уязвимыми перед этим эксплойтом.
Поддержание вашего компьютера в обновленном состоянии и установка решения безопасности поможет блокировать эту вредоносную программу по майнингу криптовалюты до того, как она сможет захватить контроль над вашим ПК. И как показывает WannaMine, если ваш компьютер заражен, то вскоре он сможет распространить инфекцию и на другие компьютеры и устройства в вашей сети.
